Source: Sophos News — Secureworks Counter Threat Unit enquête sur une campagne active depuis le 29 septembre 2025 visant des utilisateurs WhatsApp au Brésil 🇧🇷. L’opération mêle ingénierie sociale, auto‑propagation via WhatsApp Web et livraison de trojans bancaires avec des similarités techniques aux opérations Coyote. Plus de 400 environnements clients et >1 000 endpoints sont concernés.
Le vecteur initial repose sur un fichier LNK malveillant contenu dans une archive ZIP, reçu depuis des contacts WhatsApp compromis. À l’exécution, des commandes PowerShell obfusquées sont lancées, récupérant un second étage depuis des C2 qui désactivent Windows Defender et l’UAC 🧩.
Selon l’infection, le malware déploie soit des outils Selenium pour détourner les sessions WhatsApp et assurer la self‑propagation, soit le trojan bancaire Maverick. Le code malveillant surveille les sessions navigateur à la recherche d’URL de banques brésiliennes et de plates‑formes crypto, puis déploie un trojan bancaire .NET riche en fonctionnalités. L’attaque cible directement les institutions financières et les échanges de cryptomonnaies 🐛📱💳.
Impact et périmètre: campagne en cours, >400 environnements touchés, >1 000 endpoints affectés. Les infrastructures C2 identifiées suggèrent des liens techniques potentiels avec des campagnes Coyote antérieures.
IOCs (extraits):
- C2: zapgrande[.]com, expansiveuser[.]com, sorvetenopote[.]com
TTPs observés:
- Ingénierie sociale via contacts WhatsApp compromis et archives ZIP
- Exécution initiale par fichier LNK → PowerShell obfusqué
- Désactivation de Windows Defender et de l’UAC
- Auto‑propagation via WhatsApp Web (automatisation Selenium)
- Déploiement de Maverick et d’un trojan bancaire .NET ciblant banques et échanges crypto
Type d’article et objectif: analyse de menace visant à documenter la chaîne d’attaque, l’impact, l’infrastructure C2 et les recoupements techniques avec Coyote.
🧠 TTPs et IOCs détectés
TTPs
[‘Ingénierie sociale via contacts WhatsApp compromis et archives ZIP’, ‘Exécution initiale par fichier LNK’, ‘Utilisation de PowerShell obfusqué’, “Désactivation de Windows Defender et de l’UAC”, ‘Auto-propagation via WhatsApp Web avec automatisation Selenium’, ‘Déploiement de trojans bancaires ciblant banques et échanges crypto’]
IOCs
[‘zapgrande[.]com’, ’expansiveuser[.]com’, ‘sorvetenopote[.]com’]
🔗 Source originale : https://news.sophos.com/en-us/2025/10/10/whatsapp-worm-targets-brazilian-banking-customers/